Une partie de la démarche d’intelligence économique consiste à maîtriser et protéger l’information stratégique de l’entreprise. Dès lors, il convient de déployer les moyens nécessaires pour s’assurer que cette information stratégique ne fuite pas, ou ne se retrouve pas entre de mauvaises mains. Pirates informatiques, concurrents mal intentionnés… Il existe cependant plusieurs moyens d’éviter les fuites de données, que toutes les entreprises peuvent s’approprier.
Déterminer le niveau de sécurité de chaque document
Loïc Guézo, secrétaire général du Clusif, l’association de la sécurité numérique en France, et directeur de la stratégie cybersécurité pour l’Europe du Sud chez Proofpoint, une entreprise de sécurité informatique, identifie plusieurs étapes pour protéger ses données.
La première concerne la gouvernance. « Il faut être capable de qualifier le niveau de sécurité des données, c’est-à-dire d’attribuer un niveau de classification aux différentes informations, et d’y associer des règles d’accès, qui vont se traduire ensuite en applications techniques. » Cela passe aussi par le marquage de documents, de façon visible à la fois pour que les personnes qui y ont accès connaissent leur niveau de confidentialité, et dans le but de les identifier en cas de fuite.
Former les salariés
Cette étape est très importante, et passe également par la formation des salariés. « L’objectif, idéalement, c’est de maîtriser la gestion de la donnée et d’éviter les fuites. Sans solution technique cela devient impossible aujourd’hui. Mais il ne faut pas se cacher derrière la technologie, ce n’est pas cela qui va régler tous les problèmes », insiste Loïc Guézo.
Recourir à des solutions techniques
L’étape suivante est de mettre en place des solutions techniques, qui auront pour but de pallier les dysfonctionnements. Négligences, malveillance, et manipulation d’un utilisateur de la part d’un attaquant externe à l’entreprise pour tenter d’exfiltrer de l’information via une intrusion informatique… Ces solutions vont servir à détecter les anomalies, alerter les équipes de sécurité, et bloquer les contenus. Aujourd’hui, elles ont souvent recours à l’intelligence artificielle pour traiter de grands volumes de données. Ce sont tous les outils qui veillent à ce que les utilisateurs n’envoient pas d’informations sensibles en dehors du réseau de l’entreprise. En jargon informatique, on les appelle DLP, pour data loss prevention.
Ne pas hésiter à se faire aider
Pour une PME, la mise en place de telles solutions peut s’apparenter à un vrai casse-tête. D’autant qu’historiquement, les DLP étaient constitués de nombreux modules différents. Cependant, la tendance actuelle est plutôt d’aller vers des systèmes unifiés, plus simples, intégrés et accessibles, qui couvrent les données partout où elles se trouvent (stockées, en mouvement, et directement sur les postes utilisateurs).
Pour cela, pas besoin d’aller chercher très loin, les grands éditeurs comme Microsoft en proposent. Cela peut être une solution qui assure un minimum de protection. « Nous recommandons aux PME de démarrer par la gouvernance et la classification des données, et de se former avec un minimum d’outillage. Si besoin, en cas d’attaque, elles pourront toujours se tourner vers la police et être accompagnées par la DGSI », relève Loïc Guézo. Alors, plus d’excuse.
